Sauga „Microsoft Power Platform“

Power Platform sukuria galią greitai ir lengvai kurti galutiniai sprendimai tiek ne profesionalams, tiek profesionalams kūrėjams. Šių sprendimų sauga yra labai svarbi. Power Platform sukurta tam, kad būtų apsauga nuo pramonės šakų.

Organizacijos spartina jų perėjimą prie debesies, todėl operacijose ir verslo sprendimų priėmimo procese patobulintos išplėstinės technologijos. Daugiau darbuotojų dirba nuotoliniu būdu. Klientų internetinių paslaugų poreikis vis patenkinti. Tradicinio vietinės programos saugos nepakanka. Organizacijos, kurios ieško debesų technologijos, kelių pakopų išsamesnės saugos sprendimo, kuris būtų skirtas jų įmonės valdymo duomenims Power Platform. Socialinės saugos priemonės, finansų įstaigos ir priežiūros paslaugų teikėjai tikisi Power Platform savo slaptausia informacija.

Microsoft nuo 2000-ųjų vidurio daug investavo į saugumą. Daugiau nei 3 500 Microsoft inžinierių dirba, kad aktyviai spręstų nuolat kintančią grėsmių aplinką. Microsoft saugumas prasideda nuo lusto BIOS branduolio ir tęsiasi iki pat vartotojo patirties. Šiandien mūsų saugos rinkinys yra išsamiausias pramonės šakoje. Microsoft plačiai laikoma pasauline lydere kovoje su piktavališkais veikėjais. Milijardai kompiuterių, trilijonai prisijungimų ir zetabaitų duomenų yra patikėti Microsoft apsaugai.

Power Platform remiasi šiuo stipriu pamatu. Jai naudojama ta pati saugos są krūva, kuri gavo "Azure" teisę pateikti ir apsaugoti slapiausius pasaulio duomenis, Microsoft 365 bei integruojama su išplėstinėmis informacijos apsaugos ir jos apdorojimo priemonėmis. Power Platform užtikrina end-to-end apsauga, sukurta atsižvelgiant į mūsų klientų svarbiausius "Cloud" aplinkos aspektus:

• Kaip kontroliuoti, iš kur galima prisijungti, iš kur prisijungti ir kaip prisijungti? Kaip kontroliuoti ryšius?
• Kaip mūsų duomenys laikomi? Kaip jie užšifruojami? Kokius savo duomenų valdiklius naudojame?
• Kaip kontroliuoti ir apsaugoti slaptus duomenis? Kaip galime užtikrinti, kad mūsų duomenys neįeis į organizaciją?
• Kaip mes galime audituoti, kas gali ką daryti? Kaip galime greitai susektyvti, jei aptinkame aptinkamą veiklą?

Valdymas

Paslaugai Power Platform Microsoft taikomos Internete teikiamų paslaugų sąlygos ir Microsoft Įmonės privatumo nuostatos. Informacijos apie duomenų apdorojimo vietą ieškokite Microsoft Internete teikiamų paslaugų sąlygose ir Duomenų apsaugos priede.

Patikimumo Microsoft centras yra pagrindinis atitikties informacijos šaltinis Power Platform . Sužinokite daugiau apsilankę Microsoft atitikties pasiūlymuose.

Tarnyba Power Platform seka saugos kūrimo ciklą (SDL). SDL yra išsaikų praktikos, palaikomos saugos garantijos ir reikalavimų atitikimo, rinkinys. Sužinokite daugiau skyriuje Microsoft Saugos kūrimo ciklo praktika.

Bendrosios Power Platform saugos sąvokos

Power Platform apima kelias paslaugas. Kai kurios saugos sąvokos, kurias apimsime šioje sekoje, taikomos visoms joms. Kitos sąvokos yra specifinės atskiroms paslaugoms. Kai saugos sąvokos skiriasi, iškąsime jas.

Visos paslaugos bendrai apima šias saugos sąvokos Power Platform apima:

• Aptarnavimo Power Platform sistema arba informacijos srautų per sistemą eiga
• Paslaugų Power Platform autentifikavimasarba tai, kaip vartotojai gauna prieigą prie paslaugų
• Prisijungimas ir autentifikavimas prie duomenų šaltinių arba tai, kaip paslaugos jungiasi prie duomenų šaltinių ir vartotojai gauna prieigą prie duomenų
• Duomenų saugojimas Power Platform arba kaip jie apsaugomi, nesvarbu, ar jie saugomi, ar perduodami iš vienos sistemos į kitą ir atvirkščiai

Šios Power Platform paslaugos architektūra

Power Platform paslaugos sukurtos "Azure Microsoft" debesų kompiuterijos platformoje. Aptarnavimo Power Platform komponentai yra išsverti keturis komponentus:

• Žiniatinklio išorinių serverių grupė
• Atgalinio ryšio klasteris
• Premium infrastruktūra
• Mobiliosios platformos

Žiniatinklio išorinių serverių grupė

Taikoma Power Platform tarnyboms, kurios rodo žiniatinklio UI. Žiniatinklio sąsajos grupė vartotojo naršyklėje aptarnauja programos arba aptarnavimo pagrindinį puslapį. Jis naudojamas Microsoft Entra iš pradžių autentifikuoti klientus ir teikti žetonus vėlesniems klientų ryšiams su Power Platform vidine paslauga.

Žiniatinklio priekinės dalies grupę sudaro žiniatinklio svetainė ASP.NET , paleidžiama "Azure" programos aptarnavimo aplinkoje. Kai vartotojas lankosi paslaugoje Power Platform arba taikomojoje programoje, kliento DNS tarnyba gali gauti tinkamiausią (paprastai arčiausiai) duomenų centrą iš „Azure Traffic Manager". Daugiau informacijos ieškokite Azure Traffic Manager" efektyvumo srauto maršrutizavimo metodas.

Žiniatinklio išorinių mazgų grupė valdo prisijungimo ir autentifikavimo seką. Jis gauna prieigos žetoną Microsoft Entra , kai vartotojas yra autentifikuotas. Komponentas ASP.NET nustato atpažinimo ženklą, kad nustatytų, kuriai organizacijai priklauso vartotojas. Tada komponentas smagina Power Platform visuotinę atsarginę paslaugą ir naršyklėje nurodo, kuris organizacijos nuomotojas yra "back-end Cluster". Tolesni veiksmai su klientu tiesiogiai įvyksta naudojant atsarginę grupę ir nėra būtinybės naudoti žiniatinklio išorinių mazgų.

Naršyklė atima statinius išteklius, pvz., .js, .css ir vaizdų failus, iš "Azure Content Delivery Network" (CDN). "Kai kurios valstybinės valdžios sistemos įdiegtys yra išimtis". Dėl priežasčių, dėl kurių šie visuotiniai diegimai neįeis į "Azure" CDN. Vietoj to jie naudoja su suderinamu regionu žiniatinklio priekinę grupę, kad prig galėtų priimti statinį turinį.

Power Platform atgalinio ryšio klasteris

Galinė grupė yra visų aptarnavimo funkcijų atsarginė Power Platform dalis. Jį sudaro aptarnavimo galiniai punktai, foninės darbo paslaugos, duomenų bazės, talpyklos ir kiti komponentai.

Atsarginę kopiją galima naudoti daugumoje "Azure" regionuose ir ji diegiama naujuose regionuose, kai tik juos galima pasiekti. Viename regione gali būti kelių grupių išteklių. Ši konfigūracija leidžia Power Platform tarnyboms neribotai keisti mastelį horizontaliai, kai pasiekiama viena grupės vertikaliojo ir horizontalaus mastelio keitimo riba.

Back-end grupės yra būsenos. Back-end grupė nuogąs visus jam priskirtų nuomotojų duomenis. Grupė, kurioje yra konkretaus nuomotojo duomenys, vadinama nuomotojo namų grupė. Informaciją apie autentifikuotos Power Platform vartotojo namų grupės teikia visuotinė galinė tarnyba žiniatinklio išorinių mazgų grupei. Žiniatinklio priekinė dalis naudoja informaciją, kad maršrutų užklausas į nuomotojo namų "Back-end" grupę.

Nuomotojo metaduomenys ir duomenys saugomi grupės limituose. Išimtis – tai duomenų replikavimas į antrinę atsarginę grupę, kuri yra susietame tos pačios "Azure" geografinės srities regione. Antrinė grupė veikia kaip permetimo programa, jei regioninis veiklos laikas yra ati booking.com, ir yra išsaugęs bet kuriuo kitu metu. Naudojant skirtingas mašinas grupės virtualiame tinkle veikia mikro tarnybos taip pat teikia atsargines funkcijas. Tik dvi iš šių mikro paslaugų pasiekiamos viešuoju internetu:

• Šliuzo aptarnavimas
• Azure API valdymas

Power Platform Premium infrastruktūra

Power Platform Premium teikia prieigą prie išplėstinio prijungimų rinkinio kaip mokamos paslaugos. Power Platform kūrėjams neapribota naudojant "premium" jungtis, tačiau yra programų vartotojų. T. y. programos, kurioje yra "mes" jungtys, vartotojai turi turėti tinkamą licenciją jiems pasiekti. Back-end Power Platform paslauga nustato, ar vartotojas turi prieigą prie vartotojų prijungimo.

Mobiliosios platformos

Power Platform palaiko Android iOS ir "Windows" (UWP) programas. Mobiliųjų įrenginių programų saugos aspektai priklauso dviem kategorijoms:

• Įrenginio pranšimas
• Taikomoji programa ir duomenys įrenginyje

Įrenginio pranšimas

Power Platform mobiliųjų įrenginių programose naudojamos tos pačios ryšio ir autentifikavimo sekos, kurias naudoja naršyklės. Android ir iOS programos programoje atidaro naršyklės seansą. „Windows" programos naudoja", kad nustatytų ryšio kanalą Power Platform su prisijungimo proceso paslaugomis.

Šioje lentelėje pateikiamas mobiliesiems įrenginiams skirtų programų autentifikavimo (CBA) palaikymas:

CBA palaikymas	iOS	Android	„Windows“
Prisijunkite prie tarnybos	Palaikomas	Palaikomas	Nepalaikomas
SSRS ADFS vietinis (prisijungti prie SSRS serverio)	Nepalaikomas	Palaikomas	Nepalaikomas
SSRS App Proxy	Palaikomas	Palaikomas	Nepalaikomas

Mobiliosios programos aktyviai palaiko ryšį su Power Platform paslaugomis. Programų naudojimo statistika ir panašūs duomenys perduodami tarnyboms, kurios stebi naudojimą ir veiklą. Neįtraukta jokių kliento duomenų.

Taikomoji programa ir duomenys įrenginyje

Mobilioji programa ir jai reikalingi duomenys saugiai saugomi įrenginyje. Microsoft Entra ir atnaujinimo žetonai saugomi naudojant pramonės standartus atitinkančias saugumo priemones.

Įrenginyje esantys duomenys yra programos duomenys, vartotojo parametrai, ataskaitų sritys ir ataskaitos, pasiekti ankstesniuose seansuose. Talpykla saugoma smėlio dėžėje vidinėje saugykloje. Talpyklą galima pasiekti tik programoje ir šią OS galima užšifruoti.

• iOS: šifravimas yra automatinis, kai vartotojas nustato prieigos kodą.
• Android: šifravimą galima konfigūruoti parametruose.
• „Windows": šifravimą tvarko "BitLocker".

Microsoft "Intune " failo lygio šifravimas gali būti naudojamas duomenų šifravimui pagerinti. "Intune" yra programinės įrangos paslauga, kuri teikia mobiliųjų įrenginių ir programų valdymo paslaugas. Visos trys mobiliųjų įrenginių platformos palaiko "Intune". Kai "Intune" įjungtas ir sukonfigūruotas, duomenys mobiliajame įrenginyje užšifruojami, Power Platform o programos negalima įdiegti SD kortelės.

"Windows" programos taip pat palaiko Windows informacijos apsauga (WIP).

Paimti duomenys naikinami, kai vartotojas:

• išdiegia programą
• atsijungia nuo Power Platform aptarnavimo
• nepasieka pakeitus slaptažodį arba atpažinimo ženklas baigia galioti

Vartotojas geografią įjungia arba išjungia. Jei įjungta, geografinės vietos duomenys įrenginyje neįrašomi ir su jais nebendrinami Microsoft.

Vartotojas pranešimus pats įjungia arba išjungia. Jei pranešimai įgalinti Android ir iOS nepalaiko geografinių duomenų laikymo vietos reikalavimų.

Mobiliosios Power Platform paslaugos įrenginyje negali pasiekti kitų taikomųjų programų aplankų ar failų.

Kai kurie atpažinimo ženklais pagrįsti autentifikavimo duomenys pasiekiami kitoms Microsoft programoms, pvz., autentifikavimo priemonei, kad būtų galima įgalinti bendrąją autentifikaciją. Šiuos duomenis tvarko Microsoft Entra autentifikavimo bibliotekos SDK.

Susiję straipsniai

Paslaugų autentifikavimas Power Platform
Prijungimas ir autentifikavimas prie duomenų šaltinių
Duomenų saugojimas Power Platform
Power Platform DUK apie saugumą

Taip pat žr.

• Saugumas Microsoft Dataverse
• Microsoft Internete teikiamų paslaugų sąlygos
• Microsoft Įmonės privatumo patvirtinimas
• Duomenų apsaugos priedas
• Microsoft Saugos kūrimo gyvavimo ciklo praktika
• "Azure Traffic Manager" našumo srauto nukreipimo metodas
• Microsoft Intune
• "Windows" informacijos apsauga (WIP)